Всем Привет. Как вы обходите виндовс дефендре? Понимаю что не каждый хочет делиться этим и каждый применяет для себя лично под пролив чтобы не "убить методику" и т.д
От себя добавлю что мои наблюдения такие что у дефендора есть несколько этапов проверки файла -
1)сигнатурный тут все просто, вин деф сканирует ваш файл в статике на стринги,код,ресурсы и метаданные файла и если видет что то подозрительное то сразу блочит моментально -- в этом может помочь морфинг,обусифкация и скрытие каких либо вызово или переделка кода по другому, вообщем тестить и играться с этим надо . ну и так-же у него есть общая база файлов которые уже там помечаны по md5 хешу как вредоноснвые уже занесные хеши в базу как угроза.
2) после прохождения сигнатурного анализа он запускает файл в своей виртуальной среде, мои наблюдения таковы что когда файл прошел сигнатурный детект он начинает его сканировать в своей песочнице ( при включенном Cloud Protection) и запускает его и анализирует поведение в целом как и обычных песочниц думаю там ничего такого прям какого-то нового нету. но у большенства людей на этом моменте как раз и возникаю трудности. Мои предварительные тесты по обходу песочницы это добавление в код разных проверок например:
проверки на вендор видеокарты(интел,амд,нвидиа) если другие вендоры видюхи то он закрывает программу или запускает какой либо поток кода который просто что делает но не продолжает выполнение самого вирусного кода.
проверка по cpuid получаем инфу по процессоре и по значению опреденому можно узнать запуск происходит ли в виртуализации
ограничения по оперативной памяти, в основном песочница не выделяет себе больше чем 4 гб оперативной памяти то по этому моменту тоже можно добавить проверку что меньше 4гб то блок ( кстати на заметку дам что обычно в системе где 4 гб оперативки она показывается как 4096 мегабайт, но у ZenBox( это такая песочница могли встречать ее в вирус тотал) она себе тоже выделяет 4гб но выделяет их так что в переводе на мегабайты это ровно 4000 мегабайта и по этой системе тоже можно добавить проверку, если кому надо зенбокс пройти)
так-же как и любая песочница, бесконечно ваш файл проверять там не может и для нее задейстовованно опредленное время как я заметил( у дефендора) это 10-30 секунд. то можно сделать какой нибудь тред слип и во время этого времени, допустим 60 секунд будет выполнятся какие нибудь действия схоже к нормальному поведению софта какие нибудь математические операции и после прохождения 60 секунд будет идти уже ваш вирусный код. Но не все так просто аверы тоже не глуповаты и обычные тред слипы они научились скипать поэтому можно сделать такой тред слип что его не сможет скипнуть антивирус подробно тут - https://evasions.checkpoint.com/techniques/timing.html , https://evasions.checkpoint.com/techniques/timing.html#time-based-sandbox-evasion-techniques .
Отдельно скажу про сам дефендер, это довольно странный антивирус который мало поддается какой либо нормальной логике он может по всякому глючить и орать даже на вполне нормальные файлы которые не содержут в себе вируса и поэтому понять полную картину сложно но имеем что имеем таковы реали. Для конкретных тестов нужно несколько тачек с вд и в бой тестить.
Кстати если вы используете один и тот-же дедик для тестов своих рабочих файлов и не переустанавливаете и не перезагружаете его то рекомендую проделать такие действия чтобы сбросить историю файлов и сигнатур в вашем локал дефендере
Открываем cmd или powershell и вводим эти команды для очистки
cd %ProgramFiles%\Windows Defender
потом
MpCmdRun.exe -removedefinitions -dynamicsignatures
и
MpCmdRun.exe -SignatureUpdate
и так-же можем почистить историю детектов в дефе
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service и отсюда все удаляем
Хочу услышать от вас ваше мнения и истории как вы вообщем боретесь с этим зверем под названием Windows Defender
если есть замечания по написанному мною тексту то пишите обговорим и обсудим.
От себя добавлю что мои наблюдения такие что у дефендора есть несколько этапов проверки файла -
1)сигнатурный тут все просто, вин деф сканирует ваш файл в статике на стринги,код,ресурсы и метаданные файла и если видет что то подозрительное то сразу блочит моментально -- в этом может помочь морфинг,обусифкация и скрытие каких либо вызово или переделка кода по другому, вообщем тестить и играться с этим надо . ну и так-же у него есть общая база файлов которые уже там помечаны по md5 хешу как вредоноснвые уже занесные хеши в базу как угроза.
2) после прохождения сигнатурного анализа он запускает файл в своей виртуальной среде, мои наблюдения таковы что когда файл прошел сигнатурный детект он начинает его сканировать в своей песочнице ( при включенном Cloud Protection) и запускает его и анализирует поведение в целом как и обычных песочниц думаю там ничего такого прям какого-то нового нету. но у большенства людей на этом моменте как раз и возникаю трудности. Мои предварительные тесты по обходу песочницы это добавление в код разных проверок например:
проверки на вендор видеокарты(интел,амд,нвидиа) если другие вендоры видюхи то он закрывает программу или запускает какой либо поток кода который просто что делает но не продолжает выполнение самого вирусного кода.
проверка по cpuid получаем инфу по процессоре и по значению опреденому можно узнать запуск происходит ли в виртуализации
ограничения по оперативной памяти, в основном песочница не выделяет себе больше чем 4 гб оперативной памяти то по этому моменту тоже можно добавить проверку что меньше 4гб то блок ( кстати на заметку дам что обычно в системе где 4 гб оперативки она показывается как 4096 мегабайт, но у ZenBox( это такая песочница могли встречать ее в вирус тотал) она себе тоже выделяет 4гб но выделяет их так что в переводе на мегабайты это ровно 4000 мегабайта и по этой системе тоже можно добавить проверку, если кому надо зенбокс пройти)
так-же как и любая песочница, бесконечно ваш файл проверять там не может и для нее задейстовованно опредленное время как я заметил( у дефендора) это 10-30 секунд. то можно сделать какой нибудь тред слип и во время этого времени, допустим 60 секунд будет выполнятся какие нибудь действия схоже к нормальному поведению софта какие нибудь математические операции и после прохождения 60 секунд будет идти уже ваш вирусный код. Но не все так просто аверы тоже не глуповаты и обычные тред слипы они научились скипать поэтому можно сделать такой тред слип что его не сможет скипнуть антивирус подробно тут - https://evasions.checkpoint.com/techniques/timing.html , https://evasions.checkpoint.com/techniques/timing.html#time-based-sandbox-evasion-techniques .
Отдельно скажу про сам дефендер, это довольно странный антивирус который мало поддается какой либо нормальной логике он может по всякому глючить и орать даже на вполне нормальные файлы которые не содержут в себе вируса и поэтому понять полную картину сложно но имеем что имеем таковы реали. Для конкретных тестов нужно несколько тачек с вд и в бой тестить.
Кстати если вы используете один и тот-же дедик для тестов своих рабочих файлов и не переустанавливаете и не перезагружаете его то рекомендую проделать такие действия чтобы сбросить историю файлов и сигнатур в вашем локал дефендере
Открываем cmd или powershell и вводим эти команды для очистки
cd %ProgramFiles%\Windows Defender
потом
MpCmdRun.exe -removedefinitions -dynamicsignatures
и
MpCmdRun.exe -SignatureUpdate
и так-же можем почистить историю детектов в дефе
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service и отсюда все удаляем
Хочу услышать от вас ваше мнения и истории как вы вообщем боретесь с этим зверем под названием Windows Defender
если есть замечания по написанному мною тексту то пишите обговорим и обсудим.
